第8章网络协议的安全-VPN试题.ppt

VPN 本章要点： VPN的基本概念和特点 VPN采用的主要技术 第二层VPN协议的机制和功能 第三层的一种VPN协议的机制和功能 为什么使用VPN？ 信息在传输中可能泄密 信息在传输中可能失真 信息的来源可能是伪造的 信息传输的成本可能很高 信息在传输中可能泄密 信息在传输中可能失真 信息的来源可能是伪造的 信息传输的成本可能很高 使用VPN解决方案的优势 防止数据在公网传输中被窃听 防止数据在公网传输中被篡改 可以验证数据的真实来源 成本低廉（相对于专线、长途拨号） 应用灵活、可扩展性好 现有VPN解决方案 应用层加密 链路层加密 网络层加密 VPN的概念 VPN是Virtual Private Network的缩写，称“虚拟专用网”或“虚拟私有网”，是将物理分布在不同地点的网络通过公用骨干网，尤其是Internet连接形成逻辑上的虚拟子网，向最终用户提供类似于私有网络性能的网络服务技术。 为了保障信息的安全，VPN技术采用了鉴别、访问控制、必威体育官网网址性、完整性等措施，以防止信息被泄露、篡改和复制。 对数据机密性的保护 对数据完整性的保护 对数据源真实性的保护 VPN的类型 Access VPN（远程访问VPN） Intranet VPN（企业内部VPN） Extranet VPN（企业扩展VPN） 1. Access VPN Access VPN与传统的远程访问网络相对应。 远端用户只要能使用合法IP地址访问Internet，接入到远端网关即可，可以利用VPN系统在公众网上建立一个从客户端到网关的安全传输通道。 降低了长途电话，大型Modem Pool及技术支持的费用。 适用于企业内部人员流动频繁或远程办公的情况。 2. Intranet VPN 如果要进行企业内部异地分支机构的互联，可以使用Intranet VPN方式，这是所谓的网关对网关VPN。 Intranet VPN在异地两个网络的网关之间建立了一个加密的VPN隧道，两端的内部网络可以通过该VPN隧道安全地进行通信，就好像和本地网络通信一样。 3. Extranet VPN 如果一个企业希望将客户、供应商、合作伙伴或兴趣群体连接到企业内部网，可以使用Extranet VPN。 Extranet VPN其实也是一种网关对网关的VPN，与Intranet VPN不同的是，它需要在不同企业的内部网络之间组建，需要有不同协议和设备之间的配合和不同的安全配置。 Extranet VPN示意图 VPN技术 1. 密码技术 密码技术是实现VPN的关键核心技术之一。 一般情况下，在VPN实现中： 双方大量的通信流量的加密使用对称加密算法，运算量小、速度快。众多算法中最常用的是DES（Data Encryption Standard）、AES（Advanced Encryption Standard）和IDEA（International Data Encryption Algorithm） 而在管理、分发对称加密的密钥上采用更加安全的非对称加密技术。 2. 身份认证技术 VPN需要解决的首要问题就是网络上用户与设备的身份认证。 从技术上说，身份认证基本上可以分为两类：非PKI体系和PKI体系的身份认证。 非PKI体系：UID+PASSWORD PAP，Password Authentication Protocol，口令认证协议 简单的明文验证方式。NAS要求用户提供用户名和口令，PAP以明文方式返回用户信息。安全性较差。 CHAP，ChallengeHandshake Authentication Protocol，挑战握手认证协议 加密的验证方式，能够避免建立连接时传送用户的真实密码。 NAS向远程用户发送一个挑战口令（challenge），其中包括会话ID和一个任意生成的挑战字串。远程客户必须使用MD5单向哈希算法返回用户名和加密的挑战口令，会话ID以及用户口令，其中用户名以非哈希方式发送。 不再发送明文口令，而且为每一次验证任意生成一个挑战字串来防止受到重放攻击，还不定时的向客户端重复发送挑战口令，避免第3方冒充远程客户进行攻击。 MSCHAP，Microsoft Challenge Handshake Authentication Protocol，微软CHAP EAP, Extensible Authentication Protocol, 扩展身份认证协议 RADIUS，Remote Authentication Dial In User Service，远程认证拨号用户服务 PKI体系 常用的方法是依赖于CA（Certificate Authority，数字证书签发中心）所签发的符合X.509规范的标准数字证书。通信双方交